Dynamic Access Control - neu in clustered DataONTAP 8.3

In den vergangenen Wochen häufen sich Kunden- sowie Partneranfragen zum Thema „Dynamic Access Control“ kurz DAC. Aus diesem Grund habe ich mich entschieden heute einen Blog dazu zu schreiben.

Was ist Dynamic Access Control?

Kurz gesagt, DAC ist ein neues Feature in Windows Server 2012 sowie Windows 8 und ermöglicht eine neue Art der Zugriffsberechtigung auf Ordner bzw. Dateien. Meines Wissens ist, Stand heute, NetApp der einzige NAS Anbieter am Markt, der dieses Feature bereits implementiert hat.   

Welche Funktionen bietet DAC?

Vor Windows Server 2012 gab es pro Benutzer immer eine sogenannte User SID (Security Identifier). Je nach Gruppenzugehörigkeit des Benutzers gibt es neben der User SID auch eine Liste der jeweiligen Gruppen SIDs.

Ab Server 2012 gibt es zusätzlich zu den User und Gruppen SID auch die sogenannten User und/oder Device Claims. Was das genau ist, erkläre ich später. 

In der Vergangenheit haben Unternehmen den Zugriff auf Dateien und Ordner immer über die entsprechenden Berechtigungen auf Verzeichnis bzw. Freigabeebene geregelt. Das nachfolgende Bild soll den Weg nochmal verdeutlichen:

  • Benutzer werden in Gruppen eingefügt
  • Gruppen bekommen Berechtigungen auf Freigabe und/oder Verzeichnisebene (NTFS Rechte).

NTFS Rechte.jpg

Herausforderung vieler Kundenumgebungen bestehen m.E. in der Komplexität im Umgang mit den vielen Benutzergruppen. Anhand des nachfolgenden Beispiels möchte ich die Situation kurz beschreiben. Nehmen wir mal ein Unternehmen mit nur drei Standorten (München, Frankfurt, Düsseldorf) und drei Abteilungen (Sales, HR und Engineering) an. Typischerweise sieht man oft die Unternehmensstruktur in Form der Benutzergruppen abgebildet. 

gruppen.jpg

In meinem Beispiel gibt es also eine Gruppe mit allen Mitarbeitern in München, eine Gruppe mit allen Mitarbeitern in Frankfurt, eine Gruppe mit allen Düsseldorfern sowie eine Gruppe mit allen Vertriebsmitarbeitern, eine Gruppe mit allen Engineers und allen HR Mitarbeitern. Dann sicherlich auch eine Kombination aus Benutzern, die nur in Sales in München arbeiten, nur Sales in Frankfurt sind usw. d.h. in meinem Beispiel sind das schon 15 Gruppen.

Nicht selten werden bei unseren größeren Kunden allein für ein Projekt (z.B. Design eines neuen Fahrzeugs) mehrere hunderte bis tausende Benutzergruppen erstellt.

So, was meine ich mit dem Thema „Komplexität im Umgang mit Gruppen“. Stellen wir uns vor, ein Mitarbeiter wechselt in eine andere Abteilung oder den Standort oder ist zuständig für ein neues Projekt. Für den Administrator bedeutet das, er muss entscheiden in welche Gruppen der Benutzer aufgenommen werden muss.

Noch viel wichtiger ist aber die Entscheidung, aus welchen Gruppen muss der Benutzer eigentlich wieder entfernt werden. Letztlich, wie stellt man sicher, dass dem Mitarbeiter der Datenzugriff auf Informationen, die nach der Veränderung nicht mehr für ihn bestimmt sind, entzogen wird.

Häufig sehen wir in Kundensituationen, dass Mitarbeiter nur in die neuen Gruppen aufgenommen, nicht aber aus den alten Gruppen gelöscht werden. Dies bedeutet natürlich für das Unternehmen, Mitarbeiter haben ggf. Zugriff auf Daten, die eigentlich nicht für sie bestimmt sind - oder?  

Microsoft bietet mit Windows Server 2012 und der Funktion Dynamic Access Control neue Möglichkeiten, diese Herausforderung zu adressieren. Dazu wurden – wie bereits erwähnt - in Windows Server 2012 sogenannte User und Device Claims eingeführt.

User oder Device Claims

Ein „User oder Device Claim“ ist eine Behauptung des Benutzers oder des Devices (z.B. PC, Notebook, …), die er über die Eigenschaft aus dem Active Directory erhält. In meinem Beispiel bekommt ein Benutzer das Claim einer Abteilung (Engineering), die Abhängigkeit zu einem Standort (MUC) sowie ein Claim zu einem Jobtitel (Director).

userclaim 1.jpg

Aber auch viele andere Claims wie Land oder Identifikation als Externer-, Vollzeit- oder Teilzeitmitarbeiter, etc. sind natürlich möglich.

Über das „AD Administrative Center“ werden die sogenannten Claim Typen verwaltet. In meinem Beispiel gibt es die Typen „Städte, Länder, Abteilungen und Jobtitel“.

AD Admnistration.jpg

Aber was kann man mit diesen Claim Typen anfangen? Beispielsweise kann man nun eine neue Art der Access Control Listen erstellen. Dabei verwendet man sogenannte „Conditional Expression“.

Conditional Expression

Conditional Expressions erlauben es, die Berechtigung auf Ordner oder Dateien zu vergeben. Beispielsweise könnten Conditional Expressions wie folgt definiert werden:

  • Ich erlaube den Zugriff auf den Ordner nur für Benutzer, die a) aus Deutschland sind b) im Office München arbeiten und c) der Abteilung Sales angehören.

Oder auch

  • Ich erlaube den Zugriff auf den Ordner nur a) von PCs aus der HR Abteilung b) nur für HR Mitarbeiter c) und nicht für externe HR Mitarbeiter.

Oder auch …

  • Zugriff auf den Ordner für a) alle Sales Mitarbeiter oder b) alle Legal Mitarbeiter c) aber nur von Unternehmens PCs

Wichtig an dieser Stelle zu erwähnen, für alle o.g. Regeln benötigt man keine Gruppen (!)

In meinem unten stehenden Beispiel erlaube ich Zugriff auf den Ordner nur für Benutzer, die a) das Claim haben sie sind aus Deutschland und b) die Benutzer arbeiten in Sales.

cond expression.jpg

Anfangs hatte ich bereits erwähnt, dass ab Server 2012 neben User SID und Gruppen SID auch die sogenannten Device und User Claims existieren. Wie man im nachfolgenden Bild erkennen kann, werden in meinem Beispiel dem Benutzer die entsprechenden Claims aus der AD mitgegeben. Auch hat in meinem Beispiel der Benutzer die Voraussetzungen erfüllt (er hat das Claim DE und Sales) und bekommt somit das Recht auf den o.g. Ordner zuzugreifen.  

whoami.jpg

Fazit

Neben den o.g. Funktionen der Conditional Expression bietet DAC auch Möglichkeiten, diese Regeln in sogenannte „Central Access Policies“ zu pflegen. D.h. Active Directory basierte Group Policies definieren somit die Rechtevorgaben für die Abteilungen, Projekte, Standorte bzw. das Unternehmen. Damit stellt man sicher, dass man nicht mehr die Benutzer in komplexe Gruppen zuordnen muss, sondern nur noch die Benutzer im AD mit den entsprechenden Claims versorgt.

Würde also ein Benutzer den Standort wechseln, z.B. von München nach Frankfurt umziehen, wird in der AD lediglich die Stadt editiert und schon gelten die neuen Rechte.

Zusammengefasst, DAC bietet Ihnen die Möglichkeit

  1. die Gruppenkomplexität zu reduzieren,
  2. den Datenzugriff effektiver zu handhaben und
  3. das Risiko vor unbefugtem Datenzugriff zu minimieren.

Last but not least möchte ich auch noch erwähnen, dass das nicht die einzige Funktion von Dynamic Access Control ist. Mittels sogenannter Ressource Attribute können auch Dateien und Ordner entsprechend klassifiziert werden. Leider würde dies den Rahmen meines heutigen Blogs etwas sprengen.

Ich hoffe, der heutige Blog war für Sie hilfreich. Sehr gerne unterstützen wir Sie bei Fragen rund um das Thema Dynamic Access Control.